Hedefle Bağlantılı Web Sitelerini Tarama

Gokhan Demir - 16 Mart 2017 -

Bu yazıda, Netsparker web uygulaması güvenlik tarayıcısının taranan hedefe bağlı diğer web sitelerini de taraması için yapılması gereken ayarlar gösterilmiştir.

Hedefle Bağlantılı Web Sitelerini Tarama

Not: Bu SSS (Sıkça Sorulan Sorular) başlığı hem Netsparker Desktop hem de Invicti Enterprise için geçerlidir. Konu hakkında daha fazla dokümanı destek sayfasında bulabilirsiniz.

Netsparker Desktop ve Invicti Enterprise web uygulaması güvenlik tarayıcıları, varsayılan değerlerde başlangıç URL’inden farklı olan domainleri taramamaktadır. Dolayısıyla siz, http://example.com adresini taratırken http://api.example.com linkine bir bağlantı mevcutsa Netsparker, http://api.example.com ile bağlantılı linkleri ya da web sitelerini takip etmeyecek ve taramayacak. Bunun yerine söz konusu linkleri Knowledge Base bölümünün Out of Scope Links kısmında gösterecek.

Netsparker Knowledge Base Bölümündeki Kapsam Dışı Linkler (Out of Scope Links)

Additional Websites’ı Yapılandırma

Netsparker’ın belirlenen hedef ile bağlantılı web sitelerini taramasını istiyorsanız bu siteleri, Start a New Website or Web Service Scan penceresinde yer alan Additional Websites kısmında tanımlamış olmanız gerekir.

Netsparker Web Güvenlik Tarayıcısında Ek Web Sitelerini Yapılandırma

Bir web sitesi tanımlarken yapmanız gereken, şayet varsayılan portta bulunan bir site değilse port numarasını ve yanı sıra protokolü de içeren tam bir URL girmek olacaktır. Örnek olarak http://api.example.com ve http://docs.example.com:8043 adresleri verilebilir. Ayrıca lisansınızın izin verdiği siteleri ekleyebileceğinizi unutmayın.

Canonical Web Sitelerini Yapılandırma

Netsparker, canonical bağlantıları hedef sitenin bağlantıları olarak kabul eder ve aynı tarama ayarlarını uygular. Örneğin http://example.com and http://www.example.com adresleri aynı web sitesini işaret ediyorsa, yukarıdaki ekran görüntüsünde gösterildiği gibi Canonical kutucuğunu işaretlemeniz yeterli olacaktır. Netsparker, bu seçenek aktifken http://www.example.com/blogs/foo-bar gibi bir canonical domain tespit ettiğinde bunu http://example.com/blogs/foo-bar şekline dönüştürecek ve bu şekilde tarayacaktır.

Additional Websites İçin Kullanılan Tarama Profili ve Ayarları

Not: Netsparker Desktop ve Invicti Enterprise’da Scan Profiles ile alakalı daha fazla dokümanı ilgili bağlantılarda bulabilirsiniz.

Scan Scope

Herhangi bir yapılandırmaya uğramış olan Scan Scope ayarları, Additional Websites için geçerli değildir. Bunun yerine, Whole Domain tarama kapsamı ayarları uygulanır. Ki bu, additional website’ta tespit edilen sayfa ve alt klasörlerin taranacağı anlamına gelir.

Include / Exclude URLs

Yapılandırılmış Include / Exclude URLs ayarları, Additional Websites için de geçerlidir. Yani ilave olarak eklenmiş sitenin exit ya da endsession anahtar kelimeleri bulunduran linkleri tarama dışında kalacaktır. Aşağıda örnek ayarları görmekteyiz:

Netsparker Desktop'ta Linkleri Dahil veya Hariç Tutma

Imported Links

Ayrıca Additional Websites’ta geçerli olacak olan Imported Links’i de ekleyebilirsiniz.

Eklenmiş Linklerin Netsparker Cloud'da Yapılandırılması

URL Rewrite Kuralları

URL Rewrite ayarları Additional Sites için de geçerli olacaktır. Bu nedenle, şayet Heuristic URL Rewrite teknolojisi kullanılmışsa tarayıcı, web sitesinde kullanılan URL Rewrite kurallarını otomatik olarak tespit edecektir. Bunun yanı sıra eğer özel URL Rewrite kuralları tanımlanırsa yapılan ayarlar yine Additional Sites için de geçerli olacaktır.

Netsparker Cloud'da URL Rewrite Kurallarını Yapılandırma

Yani bir Additional Website yukarıdaki ayarlara uygun bir link barındırıyorsa, örneğin; http://api.example.com/products/1 gibi, URL Rewrite parametreleri otomatik olarak bulunacaktır.

Authentication

Additional Websites için kimlik doğrulama ayarlarını yapmak mümkün değildir.

Additional Websites’a Ait Tarama Faaliyetlerini ve Tespit Edilen Sorunları Raporlama

Alttaki ekran görüntüsünde de görüldüğü üzere, Site Map penceresinde yapılandırılmış Additional Websites için de bir kısım bulunacaktır.

İki Hostu Gösteren Sitemap (Site Haritası) Penceresi

Bir tarama esnasında, Dashboard’daki tam URL’ler Activity kısmında, alfabetik sıraya göre gösterilir.

Tarama Esnasında Scan Dashboard'da Gösterilen Birden Fazla Domain

Bir diğer husus ise alınan raporlarla alakalı. Şöyle ki artık raporlarda, taratılan yapılandırılmış Additional Websites’ın da listelendiği bir girdi mevcut.

Additional (İlave) Web Siteleri Tarama Sonlandığında Raporlarda da Gösterilir

Raporlardaki URL’ler sadece dosya yolunun ve sorgu bileşeninin raporlanmasının aksine tam halde rapor edilir, dolayısıyla problemin ilave siteler de dahil olmak üzere hangi siteye ait olduğunu görebilirsiniz.

Netsparker, Problemlerin Gösterildiği Rapordaki Full URL'leri Listeler